Project Glasswing — nowy standard w bezpieczeństwie oprogramowania
Mythos Preview, specjalistyczny model bezpieczeństwa oparty na Claude Opus 4.7, przeskanował ponad 1000 projektów open source i oznaczył 23 019 podatności — z czego 6202 zakwalifikowano jako wysokie lub krytyczne. Wskaźnik true positive wyniósł 90,6%, co plasuje skanowanie bezpieczeństwa napędzane przez AI jako poważną alternatywę dla tradycyjnych narzędzi analizy statycznej.
Czym jest Project Glasswing?
Project Glasswing to inicjatywa badań stosowanych w dziedzinie bezpieczeństwa prowadzona przez Anthropic, ogłoszona w maju 2026 roku. Jej centralnym elementem jest Mythos Preview — wariant modelu Claude Opus 4.7 zorientowany na rozumowanie, wytrenowany specyficznie pod kątem wykrywania podatności. W odróżnieniu od narzędzi do ogólnego przeglądu kodu, Mythos zaprojektowano do identyfikowania błędów logicznych, naruszeń bezpieczeństwa pamięci i błędnych konfiguracji kryptograficznych, które umykają skanerom opartym na dopasowywaniu wzorców.
Inicjatywa nosi nazwę motyla glasswing — owada, którego przezroczyste skrzydła służą jako kamuflaż. Metafora jest trafna: podatności, których szuka Mythos, są często ukryte na widoku, zamaskowane przez poprawnie wyglądającą składnię, ale niosące niebezpieczne błędy semantyczne.
Skala i metodologia
Zespół Anthropic wdrożył Mythos Preview na zbiorze ponad 1000 repozytoriów open source obejmujących programowanie systemowe, biblioteki kryptograficzne, frameworki webowe oraz oprogramowanie wbudowane. Zadaniem modelu było nie tylko oznaczanie podejrzanego kodu, ale rozumowanie, czy podatność jest możliwa do wykorzystania i w jakich warunkach.
Surowy wynik: 23 019 oznaczonych elementów. Z nich 6202 oceniono jako wysokie lub krytyczne — co oznacza, że mogłyby zostać potencjalnie wykorzystane do uzyskania zdalnego wykonania kodu, eskalacji uprawnień lub eksfiltracji danych. Wskaźnik true positive wynoszący 90,6% oznacza, że mniej niż 1 na 10 wyników to fałszywy alarm — wyraźna poprawa w porównaniu z tradycyjnymi narzędziami analizy statycznej, które typowo generują 40–70% szumu.
CVE-2026-5194: studium przypadku
Wśród odkryć znalazło się CVE-2026-5194 — podatność w wolfSSL, bibliotece kryptograficznej open source używanej w systemach wbudowanych, oprogramowaniu motoryzacyjnym i urządzeniach IoT. Błąd dotyczył przypadku brzegowego w logice walidacji uzgadniania TLS, który w określonych warunkach mógł pozwolić atakującemu na obejście weryfikacji certyfikatu.
wolfSSL jest wdrożony w dziesiątkach milionów urządzeń. Odkrycie przez system AI — nie przez ludzkiego badacza — stanowi kamień milowy w automatycznych badaniach bezpieczeństwa. Anthropic skoordynował odpowiedzialne ujawnienie informacji z zespołem wolfSSL przed opublikowaniem wyników.
Claude Security: od badań do produktu
Równolegle z badaniami Glasswing, Anthropic uruchomił Claude Security w publicznej becie. Produkt integruje możliwości klasy Mythos w interfejsie skierowanym do deweloperów, dostępnym przez Anthropic Claude API oraz poprzez umowy korporacyjne z partnerami, w tym Microsoft i Oracle.
Claude Security umożliwia zespołom przesyłanie baz kodu do automatycznej analizy, otrzymywanie priorytetowych raportów o podatnościach oraz interakcję z modelem w celu zrozumienia przyczyn i ścieżek naprawczych. Anthropic pozycjonuje produkt nie jako zamiennik ludzkich inżynierów bezpieczeństwa, lecz jako mnożnik siły — obsługujący wysokowolumenową, niskoznaczeniową część audytu bezpieczeństwa, podczas gdy ludzie skupiają się na ryzyku architektonicznym.
Dlaczego open source ma znaczenie
Wybór skupienia się na oprogramowaniu open source jest celowy. OSS stanowi substrat niemal całej nowoczesnej infrastruktury cyfrowej — od hiperwizorów chmurowych po mobilne systemy operacyjne, po prymitywy kryptograficzne stanowiące podstawę systemów finansowych. Jednak projekty OSS są chronicznie niedofinansowane pod kątem przeglądu bezpieczeństwa: wolontariusze jako opiekunowie, ograniczone finansowanie i długi ogon zależności, których żaden audytor nie jest w stanie śledzić.
Argument Anthropic jest taki, że AI może robić to, czego ludzcy audytorzy nie mogą: skanować cały graf zależności, rozumować o efektach interakcji między komponentami i oznaczać problemy zanim zostaną wykorzystane na wolności.
Kontekst branżowy
Project Glasswing pojawia się w momencie wzmożonej uwagi na bezpieczeństwo łańcucha dostaw oprogramowania. Agencja CISA promuje software bills of materials (SBOM) jako standard ujawniania informacji. Podatność Log4Shell z 2021 roku — błąd w nieznanej bibliotece logowania Java, który eskalował do globalnego incydentu — pozostaje kanonicznym przykładem tego, dlaczego bezpieczeństwo OSS ma znaczenie w skali. Google sfinansował OpenSSF, Microsoft posiada Security Response Center. To, co wyróżnia podejście Glasswing, to głębokość rozumowania: Mythos nie tylko dopasowuje wzorce, ale śledzi przepływy danych i modeluje intencje atakującego.
Co dalej
Anthropic wskazał, że Mythos Preview to wczesna iteracja. Przyszłe wersje rozszerzą zasięg na oprogramowanie firmware i języki opisu sprzętu (HDL), gdzie wspomagany przez AI przegląd bezpieczeństwa to w dużej mierze niezbadane terytorium. Zespół pracuje również nad integracją ze wspólnymi potokami CI/CD, tak aby skanowanie podatności stało się procesem ciągłym, a nie okresowym audytem.
Claude Security jest aktualnie dostępny w publicznej becie dla klientów korporacyjnych i deweloperów z dostępem do API. Anthropic nie ogłosił cen ogólnej dostępności.
Źródła
https://www.anthropic.com/research/glasswing-initial-update
